SAS-70, или Как доказать клиенту, что <все под контролем>

    Вы когда-нибудь слышали о SAS-70? Нет?
    Догадываетесь, что это скорее всего одна из многочисленных аббревиатур бухгалтерского стандарта, пришедшего из-за рубежа? Предполагаете - это что-то совсем далекое от российских реалий, раз Вы об этом никогда не слышали?
    Между тем стандарт SAS-70 приобретает все большее распространение в России.
    Из этой статьи вы можете узнать о всех тех преимуществах, которые дает SAS-70.

ЧТО ЖЕ ЭТО ТАКОЕ - SAS-70?

    Положение по аудиторским стандартам №70 (Statement on Auditing Standards - SAS-70) <Отчет по обработке операций организациями, предоставляющими услуги> было принято Американским институтом сертифицированных бухгалтеров (American Institute of Certified Public Accountants - AICPA) в 1992 г. и является общепринятым и, возможно, наиболее всеобъемлющим руководством по оценке состояния и операционной эффективности структуры систем внутреннего контроля компании. Главная задача отчета SAS-70 состоит в обеспечении третьих заинтересованных сторон информацией в форме отчета и заключения о структуре систем внутреннего контроля компании.
    За разработку, внедрение и поддержку эффективной системы контроля ответственность несет руководство организации. Хорошо сконструированная система внутреннего контроля обеспечивает благоприятную среду для проведения операций организацией, удовлетворение действующего законодательства, а также снижение риска материального искажения финансовой информации: управленческой отчетности для внутренних целей и внешней финансовой отчетности.
    Работа по подготовке отчета SAS-70 позволит руководству компании получить информацию о существующих системах внутреннего контроля, а сам отчет SAS-70 будет важной составляющей эффективной стратегии, нацеленной на реализацию услуг компании на рынке.
    Следует отметить, что SAS-70 является довольно специфическим стандартом: он посвящен тестированию процедур контроля - это и есть его главное отличие от других стандартов, которые в большей степени относятся к процедурам бухгалтерского учета. SАS-70 имеет дело именно с процедурами контроля, ни один из других стандартов не требует такого детального анализа процедур контроля, как в ходе работы по SАS-70.
    Однако необходимо иметь в виду, что это - американский стандарт.
    В других государствах также есть подобные стандарты, например, в Великобритании соответствующий стандарт называется FRAG-21.

К КОМУ ПРИМЕНИМ SAS-70?

Отчет, составленный в соответствии с SAS-70 (далее - отчет SAS-70), применим к разного рода организациям: трастовым и кастодиальным подразделениям банков и страховых компаний, ипотечным компаниям, депозитариям и организациям, предоставляющим услуги по обработке данных.
В этих организациях SAS-70, как и финансовая отчетность, в некоторых случаях является также часто требуемым документом: клиента интересует состояние процедур контроля над проведением операций, которые представляют собой основную часть деятельности организации.

ЗАЧЕМ НУЖЕН SAS-70?

Отметим лишь самые существенные преимущества, которые дает отчет SAS-70:

отчет SAS-70 будет служить средством удовлетворения запросов со стороны клиентов, аудиторов клиентов и других заинтересованных лиц, выражающих опасение по поводу процедур контроля организации;

отчет SAS-70 позволит оценить эффективность текущей политики организации и процедур, а также определить потенциальные недостатки существующей структуры систем контроля, использовать рекомендации аудитора в целях совершенствования этих процедур;

многие компании все больше используют отчет SAS-70 в качестве маркетингового инструмента для реализации услуг, которые она может предложить потенциальным клиентам. Например, многие отчеты, составленные в соответствии с SAS-70, включают раздел, составленный руководством и содержащий краткие сведения о предлагаемых услугах, обзор организационной структуры компании, подробную информацию о политике в области кадров, о результатах обсуждений вопроса о роли, обязанностях и инициативах подразделения внутреннего аудита и другие сведения.     Отчет, в частности, можно использовать для привлечения новых клиентов, а уже существующим клиентам, контрагентам или партнерам он может дать определенный уровень уверенности, что процедуры контроля адекватны выполняемым организацией задачам. Клиенты, ознакомившись с отчетом SАS-70, будут знать, что процедуры контроля организации были протестированы независимым аудитором, который (в случае подготовки отчета 1-го уровня) дал свое заключение об их адекватности.
    Как, например, депозитарий может убедить клиента, что его бумаги не исчезнут куда-нибудь в один <прекрасный момент>? Ведь не секрет, что одним из факторов, снижающих доверие зарубежных инвесторов к вложению средств в российский фондовый рынок, является боязнь того, что ценные бумаги <потеряются> где-нибудь, например, между регистратором и номинальным держателем. Проблема настолько актуальна, что аудиторские фирмы, проводящие аудит международных инвестиционных фондов, имеющих вложения <в Россию>, зачастую вынуждены проводить дополнительные процедуры для подтверждения <реального наличия> бумаг у лица, осуществляющего учет прав на ценные бумаги.
    Как обеспечить уверенность клиентов в наличии процедур контроля организации, которой они доверяют свои активы? Как руководителю получить мнение независимых экспертов об адекватности систем контроля в его организации?
    Ответом на эти и многие другие вопросы является получение организацией отчета SAS-70. По этому пути пошли многие западные, а в последнее время и российские компании, предоставляющие услуги клиентам.
    Бесполезен этот стандарт в тех случаях, когда основные операции компании не имеют сложных процессов обработки информации и системы контроля в них не являются определяющими для основного бизнеса.

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ОТЧЕТА SAS-70

    Отчет SAS-70 может быть двух типов: 1-го и 2-го уровней. Выполненная работа, сделанные выводы и в конечном итоге вид отчета и заключение, подготовленные аудитором, различаются в зависимости от того, какой отчет выполняется.
    Отчет SAS-70 1-го уровня преследует две цели: первую - определить, действительно ли описание политики и процедур компании, представленное руководством, отражает их существенные аспекты достоверно; вторую - выяснить, позволяют ли используемые политика и процедуры организации адекватно решать конкретные ключевые задачи контроля. Следует отметить, что аудитор в этом случае не проверяет операционную эффективность политики и процедур систем внутреннего контроля и не дает заключения о них. Кроме того, отчет SAS-70 1-го уровня подготавливается и отражает положение по состоянию на определенную дату.
    Отчет SAS-70 2-го уровня включает в себя все процедуры, проделанные в ходе составления отчета SAS-70 1-го уровня. Кроме того, этот вид проекта позволяет аудитору дать заключение о том, являются ли политика и процедуры, подвергшиеся тестированию, эффективными для обеспечения достаточной, но не абсолютной уверенности в том, что задачи внутреннего контроля выполнены. Кроме этого, в отличие от отчета SAS-70 1-го уровня, отчет 2-го уровня отражает положение в течение определенного отрезка времени.

ЭТАПЫ СОСТАВЛЕНИЯ ОТЧЕТА SAS-70

    При реализации проекта по составлению отчета SAS-70 можно выделить три этапа:
    Первый - выявление ключевых задач контроля. Руководство организации определяет те ключевые цели контроля, которые, по его мнению, способствуют укреплению структуры систем внутреннего контроля. На практике аудитор может помочь руководству в определении таких задач.
    Второй - определение политики и процедур. Руководство определяет, какая политика и процедуры уже внедрены в организацию, предоставляющую услуги, и используются для достижения поставленных целей контроля. На этом этапе аудитор интервьюирует ключевых представителей руководства и знакомится с документами компании, описывающими применяемые политику и процедуры, что позволяет аудитору проанализировать структуру системы внутреннего контроля компании. На практике аудитор может помочь руководству определить, какие направления политики и процедуры обеспечивают выполнение ключевых задач контроля.
    Третий - тесты операционной эффективности (только для отчета SAS-70 2-го уровня): аудитор проводит тестирование процедур, указанных руководством, для того чтобы удостовериться, что они выполняются и в достаточной степени обеспечивают выполнение ключевых задач контроля. Характер и объем тестирования варьируются в зависимости от вида тестируемых процедур, типа имеющейся информации, ожидаемой эффективности и действенности тестирования.
    Обычно такие тесты включают:

опрос - опрос руководства в целях получения данных, какой-либо дополнительной информации и подтверждения соответствия положения политике и процедурам систем внутреннего контроля;

проверка - может включать изучение документов и записей, в том числе и первичной документации;

наблюдение - за применением или наличием конкретных процедур, внедренных руководством, на предмет соблюдения внутренней политики и процедур контроля;

повторное тестирование - повторное применение процедур контроля или обработки в целях проверки их точности.